存在风险的敏感特权

high

描述

在 Windows 上,通常通过授予权限将特权委派给资源中的帐户。但是还有另一项功能可用于实现相同目标,即用户权限。Microsoft 提供了许多简化管理的方法(如关闭系统、加载驱动程序、管理安全日志等),这些方法基本上等同于在不考虑其是否适用于用户的情况下批准权限。 尽管如此,其中一些权限比较敏感,可以让用户在某些特定情况下提升在系统中的特权。 例如,如果普通用户有能力为自己的某一种设备(例如键盘)安装驱动程序,那么便也可能会安装恶意驱动程序以获得系统的管理权限。

因此,最敏感的特权可能会给底层系统带来安全风险。攻击者可利用此错误配置来破坏本地系统。

解决方案

已设置敏感特权的非管理用户和组可能会给 Active Directory 带来安全风险,应予以避免。此外,不应禁用名为“用户帐户控制”的 Windows 功能。

参见

EnableLUA

Abusing Token Privileges For Windows Local Privilege Escalation

Rotten Potato – Privilege Escalation from Service Accounts to SYSTEM

Abusing Token Privileges For LPE (part 3.1)

PrintSpoofer - Abusing Impersonation Privileges on Windows 10 and Server 2019

s(4)u for Windows (in french)

User Rights Assignment

指标详细信息

名称: 存在风险的敏感特权

代码名称: C-DANGEROUS-SENSITIVE-PRIVILEGES

严重程度: High

攻击者已知工具

Benjamin Delpy: Mimikatz

Rotten Potato NG

Poptoke